公安机关执法细则(2024版)之第29章 电子数据取证
(1)电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。
(2)以数字化形式记载的证人证言、被害人陈述以及犯罪嫌疑人、被告人供述和辩解等证据,不属于电子数据;确有必要的,对相关证据的收集、提取、移送、审查,可以参照适用对电子数据取证的规定。
(1)网页、博客、微博客、朋友圈、论坛、贴吧、网盘等网络平台发布的信息。
(2)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息。
(3)用户注册信息、身份认证信息、数字签名、生物识别信息等用户身份信息。
(4)电子交易记录、通信记录、登录日志、浏览记录、操作记录、程序安装、运行、删除记录等用户行为信息。
(5)恶意程序、工具软件、网站源代码、运行脚本等行为工具信息。
(6)系统日志、应用程序日志、安全日志、数据库日志等系统运行信息。
(7)文档、图片、音频、视频、数字证书、数据库文件等电子文件及其创建时间、访问时间、修改时间、大小等文件附属信息。
(8)公安机关等办案机关通过网络查控平台获取的查控数据,其来源系以金融专网为通道获取的银行业金融机构的业务系统数据
对作为证据使用的电子数据,应当采取下列一种或者几种方法保护电子数据的完整性:
(5)对收集、提取电子数据的相关活动进行录音录像。
(1)执行主体。收集、提取电子数据,应当由二名以上侦查人员进行。必要时,可以指派或者聘请专业技术人员在侦查人员主持下进行收集、提取电子数据。
(2)措施方法。收集、提取电子数据,可以根据案情需要采取下列一种或者几种措施、方法:
(3)固定证据方式。具有下列情形之一的,可以采取打印、拍照或者录音录像等方式固定相关证据。对第2目、第3目,固定证据后能够扣押原始存储介质的,应当扣押,不能扣押但能够提取电子数据的,应当提取电子数据:
②存在电子数据自毁功能或者装置,需要及时固定相关证据的。
(4)固定证据要求。采取打印、拍照或者录音录像方式固定相关证据的,应当符合下列要求:
②在相关笔录中注明采取打印、拍照或者录音录像等方式固定相关证据的原因,电子数据的存储位置、原始存储介质特征和所在位置等情况,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。
(1)条件。在侦查活动中发现的可以证明犯罪嫌疑人有罪或者无罪、罪轻或者罪重的电子数据,能够扣押原始存储介质的,应当扣押、封存原始存储介质。
(2)封存要求。对扣押的原始存储介质,应当按照下列要求封存:
①保证在不解除封存状态的情况下,无法增加、删除、修改电子数据,无法使用或者启动被封存的原始存储介质,必要时,具备数据信息存储功能的电子设备和硬盘、存储卡等内部存储介质可以分别封存。
②封存前后应当拍摄被封存原始存储介质的照片。照片应当反映原始存储介质封存前后的状况,清晰反映封口或者张贴封条处的状况;必要时,照片还要清晰反映电子设备的内部存储介质细节。
③封存手机等具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施。
①对扣押的原始存储介质,应当会同在场见证人和原始存储介质持有人(提供人)查点清楚,当场开列《扣押清单》一式三份,写明原始存储介质名称、编号、数量、特征及其来源等,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),一份交给公安机关保管人员,一份附卷备查。
②对无法确定原始存储介质持有人(提供人)或者原始存储介质持有人(提供人)无法签名、盖章或者拒绝签名、盖章的,应当在有关笔录中注明,由见证人签名或者盖章。由于客观原因无法由符合条件的人员担任见证人的,应当在有关笔录中注明情况,并对扣押原始存储介质的过程全程录音录像。
(4)收集关联证据。扣押原始存储介质,应当收集证人证言以及犯罪嫌疑人供述和辩解等与原始存储介质相关联的证据。
(5)了解情况。扣押原始存储介质时,可以向相关人员了解、收集并在有关笔录中注明下列情况:
①原始存储介质以及应用系统管理情况,网络拓扑与系统架构情况是否由多人使用以及管理,管理以及使用人员的身份情况。
②原始存储介质以及应用系统管理的用户名、密码情况。
③原始存储介质的数据备份情况,有无加密磁盘、容器,有无自毁功能,有无其他移动存储介质,是否进行过备份,备份数据的存储位置等情况。
(6)勘验检查时扣押、封存原始存储介质。勘验、检查与电子数据有关的犯罪现场时,应当依照法律法规和其他规范性文件相关规定处置相关设备,扣押、封存原始存储介质
(7)制作笔录。扣押、封存原始存储介质时,制作《扣押笔录》,并开具《扣押清单》。勘验、检查时需要扣押、封存原始存储介质的可不制作《扣押笔录》,但必须在勘验、检查笔录中注明扣押、封存情况。
(1)条件。具有下列无法扣押原始存储介质情形之一的,可以现场提取电子数据。无法扣押原始存储介质的情形消失后,应当及时扣押、封存原始存储介质。
②提取计算机内存数据、网络传输数据等不是存储在存储介质上的电子数据的。
③案件情况紧急,不立即提取电子数据可能会造成电子数据灭失或者其他严重后果的。
⑥正在运行的计算机信息系统功能或者应用程序关闭后,没有密码无法提取的。
(2)保护性措施。现场提取电子数据可以采取下列措施保护相关电子设备:
①及时将犯罪嫌疑人或者其他相关人员与电子设备分离。
②在未确定是否易丢失数据的情况下,不能关闭正在运行状态的电子设备。
③对现场计算机信息系统可能被远程控制的,应当及时采取信号屏蔽、信号阻断、断开网络连接等措施。
(3)操作规范。现场提取电子数据,应当遵守下列规定:
②不得在目标系统中安装新的应用程序。如果因为特殊原因,需要在目标系统中安装新的应用程序的,应当在《电子数据现场提取笔录》中记录所安装的程序以及目的。
③应当在《电子数据现场提取笔录》中详细、准确记录实施的操作。
(4)数据压缩。对提取的电子数据可以进行数据压缩。
①现场提取电子数据,应当制作《电子数据现场提取笔录》,注明电子数据的来源、事由和目的、对象、提取电子数据的时间、地点、方法、过程、不能扣押原始存储介质的原因、原始存储介质的存放地点并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员、电子数据持有人(提供人)签名或者盖章;电子数据持有人(提供人)无法签名或者拒绝签名的,应当在笔录中注明,由见证人签名或者盖章。由于客观原因无法由符合条件的人员担任见证人的应当在《电子数据现场提取笔录》中注明情况,并全程录音录像,对录音录像文件应当计算完整性校验值并记入笔录。
②对提取电子数据进行数据压缩的,还应当在《电子数据现场提取笔录》中注明相应的方法和压缩后文件的完整性校验值。
①对无法扣押的原始存储介质且无法一次性完成电子数据提取的经登记、拍照或者录音录像后,可以封存后交其持有人(提供人)保管并且开具《登记保存清单》一式二份,由侦查人员、持有人(提供人)和见证人签名或者盖章,一份交给持有人(提供人),另一份连同照片或者录音录像资料附卷备查。
②持有人(提供人)应当妥善保管,不得转移、变卖、毁损,不得解除封存状态,不得未经办案部门批准接入网络,不得对其中可能用作证据的电子数据增加、删除、修改。必要时,应当保持计算机信息系统处于开机状态。
③对登记保存的原始存储介质,应当在七日内作出处理决定,逾期不作出处理决定的,视为自动解除。经查明确实与案件无关的,应当在三日内解除。
(1)网络在线提取的适用条件。对公开发布的电子数据、原始存储介质位于境外或者境内远程计算机信息系统上的电子数据,可以通过网络在线提取。
(2)操作规范。网络在线提取应当计算电子数据的完整性校验值;必要时,可以提取有关电子签名认证证书、数字签名、注册信息等关联性信息。对可能无法重复提取或者可能会出现变化的电子数据,应当采用录音录像、拍照、截获计算机屏幕内容等方式记录下列信息:
④电子数据的网络地址、存储路径或者数据提取时的进入步骤等。
(3)制作笔录。网络在线提取电子数据应当在有关笔录中注明电子数据的来源、事由和目的、对象,提取电子数据的时间、地点、方法、过程,不能扣押原始存储介质的原因,并附《电子数据提取固定清单》,注明类别、文件格式、完整性校验值等,由侦查人员签名或者盖章。
(4)网络远程勘验的适用条件。网络在线提取时需要进一步查明下列情形之一的,应当对远程计算机信息系统进行网络远程勘验:
④需要通过勘验行为让远程计算机信息系统生成新的除正常运行数据外电子数据的。
⑤需要收集远程计算机信息系统状态信息、系统架构、内部系统关系、文件目录结构、系统工作方式等电子数据相关信息的。
⑥其他网络在线提取时需要进一步查明有关情况的情形。
①执行主体。由办理案件的县级公安机关负责。上级公安机关对下级公安机关刑事案件网络远程勘验提供技术支持。对案情重大、现场复杂的案件,上级公安机关认为有必要时,可以直接组织指挥网络远程勘验。
②见证人。网络远程勘验应当由符合条件的人员作为见证人。因客观原因无法由符合条件的人员担任见证人的,应当在《远程勘验笔录》中注明情况,并录音录像。录像可以采用屏幕录像或者录像机录像等方式。录音录像文件应当计算完整性校验值并记入笔录。
③制作笔录。远程勘验结束后,应当及时制作《远程勘验笔录》,详细记录远程勘验有关情况以及勘验照片、截获的屏幕截图等内容,并由侦查人员和见证人签名或者盖章,做到客观、全面、详细、准确、规范,能够作为还原远程计算机信息系统原始情况的依据,符合法定的证据要求。远程勘验并且提取电子数据的,应当按照本款第2项的规定,在《远程勘验笔录》中注明有关情况,并附《电子数据提取固定清单》。对计算机信息系统进行多次远程勘验的,在制作首次《远程勘验笔录》后,应当逐次制作补充《远程勘验笔录》。
(6)操作规范。网络在线提取或者网络远程勘验时,应当做到:
①使用电子数据持有人、网络服务提供者提供的用户名、密码等远程计算机信息系统访问权限。
②采用技术侦查措施收集电子数据的,应当严格依照有关规定办理批准手续。收集的电子数据在诉讼中作为证据使用时,应当依照本细则第26一02条第3款规定执行。
③使用代理服务器、点对点传输软件、下载加速软件等网络工具的应当在《网络在线提取笔录》或者《远程勘验笔录》中注明采用的相关软件名称和版本号。
(7)全程同步录音录像。对下列犯罪案件,网络在线提取、远程勘验过程应当全程同步录音录像:
②电子数据是罪与非罪、是否判处无期徒刑、死刑等定罪量刑关键证据的案件。
④犯罪嫌疑人可能被判处五年有期徒刑以上刑罚的案件。
(1)条件。具有下列情形之一的,可以对电子数据进行冻结:
①冻结电子数据,应当经县级以上公安机关负责人批准,制作《协助冻结电子数据通知书》,注明冻结电子数据的网络应用账号等信息,送交电子数据持有人、网络服务提供者或者有关部门协助办理
②不需要继续冻结电子数据时,应当经县级以上公安机关负责人批准,在三日内制作《解除冻结电子数据通知书》,通知电子数据持有人、网络服务提供者或者有关部门执行。
(3)期限。冻结电子数据的期限为六个月。有特殊原因需要延长期限的,公安机关应当在冻结期限届满前办理继续冻结手续。每次续冻期限最长不得超过六个月。继续冻结的,应当按照本款第2项第1目的规定重新办理冻结手续。逾期不办理继续冻结手续的,视为自动解除。
(4)方法。冻结电子数据,应当采取下列一种或者几种方法:
公安机关应当按照下列要求,向有关单位和个人调取电子数据:
(1)经办案部门负责人批准,开具《调取证据通知书》,注明需要调取电子数据的相关信息,通知电子数据持有人、网络服务提供者或者有关部门执行。
(2)被调取单位及其经办人、持有人应当在通知书回执上签名或者盖章,并附完整性校验值等保护电子数据完整性方法的说明,被调取单位及其经办人、持有人拒绝盖章、签名或者附说明的,公安机关应当注明。
(3)必要时,应当采用录音录像等方式固定证据内容以及取证过程。
(4)应当协助因客观条件限制无法保护电子数据完整性的被调取单位、个人进行电子数据完整性的保护。
①可以将《办案协作函》和相关法律文书以及凭证传真或者通过公安机关信息化系统传输至协作地公安机关。
②协作地办案部门经审查确认后,在传来的法律文书上加盖本地办案部门印章后,代为调查取证。
③协作地办案部门代为调查取证后,可以将相关法律文书回执或者笔录邮寄至办案地公安机关,将电子数据或者电子数据的获取、查看工具和方法说明通过公安机关信息化系统传输至办案地公安机关。
④办案地公安机关应当审查调取电子数据的完整性,对保证电子数据的完整性有疑问的,协作地办案部门应当重新代为调取。
符合下列条件之一的,可以作为行政执法、刑事诉讼证据使用,与依法在银行业金融机构现场提取的纸质反馈结果具有同等效力:
(1)将依法获取的数据打印成纸质材料予以固定,并制作相应提取证明或者说明材料(需含登录和打印的时间、电子数据生成时间、电子数据持有人或者提供人、数字身份证书以及法律手续等基本信息,由办案单位盖章以及二名以上办案民警签名)。
(2)将依法获取的数据存储于移动介质中予以固定,并制作相应提取证明或者说明材料(需含登录和刻制的时间、电子数据生成时间、电子数据持有人或者提供人、数字身份证书、法律手续、电子数据清单等基本信息,并注明类别、文件格式、完整性校验值等,由办案单位盖章以及二名以上办案民警签名)。
(1)条件。对扣押的原始存储介质或者提取的电子数据,需要通过数据恢复、破解、搜素、仿真、关联、统计、比对等方式,以进一步发现和提取与案件相关的线素和证据时,可以进行电子数据检查。
(2)执行主体。电子数据检查,应当由二名以上具有专业技术的侦查人员进行。必要时,可以指派或者聘请有专门知识的人参加。检查应当符合相关技术标准。
(3)移交、核对。电子数据检查应当保护在公安机关内部移交过程中电子数据的完整性。移交时,应当办理移交手续,并按照下列方式核对电子数据:
②对电子数据存储介质拆封过程进行录像。通过写保护设备接入到检查设备进行检查,或者制作电子数据备份、对备份进行检查。
③无法使用写保护设备且无法制作备份的,应当注明原因,并全程录音录像。
④检查前解除封存、检查后重新封存前后应当拍摄被封存原始存储介质的照片,清晰反映封口或者张贴封条处的状况。
⑤检查具有无线通信功能的原始存储介质,应当采取信号屏蔽、信号阻断或者切断电源等措施保护电子数据的完整性。
(5)制作笔录。检查电子数据,应当制作《电子数据检查笔录》,记录下列内容:
①基本情况。包括检查的起止时间,指挥人员、检查人员的姓名、职务,检查的对象,检查的目的等。
②检查过程。包括检查过程使用的工具,检查的方法与步骤等。移交时电子数据完整性校验值不正确、原始存储介质封存状态不一致或者未封存可能影响证据真实性、完整性的,检查人员应当在《电子数据检查笔录》中注明。
③检查结果。包括通过检查发现的案件线素、电子数据等相关信息。
(6)制作清单。电子数据检查时需要提取电子数据的,应当制作《电子数据提取固定清单》,记录该电子数据的来源、提取方法和完整性校验值。
为了查明案情,必要时,经县级以上公安机关负责人批准可以进行电子数据侦查实验。
①验证一定条件下电子设备发生的某种异常或者电子数据发生的某种变化。
②验证在一定时间内能否完成对电子数据的某种操作行为。
③验证在某种条件下使用特定软件、硬件能否完成某种特定行为、造成特定后果。
④确定一定条件下某种计算机信息系统应用或者网络行为能否修改、删除特定的电子数据。
(2)操作规范。电子数据侦查实验应当符合下列要求:
③侦查实验使用的电子设备、网络环境等应当与发案现场一致或者基本一致;必要时,可以采用相关技术方法对相关环境进行模拟或者进行对照实验。
④禁止可能泄露公民信息或者影响非实验环境计算机信息系统正常运行的行为。
⑤应当使用拍照、录音录像、通信数据采集等一种或者多种方式客观记录实验过程。
⑥应当制作《电子数据侦查实验笔录》,记录侦查实验的条件、过程和结果,并由参加侦查实验的人员签名或者盖章。
为了查明案情,解决案件中有关电子数据的某些专门性问题,应当指派、聘请有专门知识的人进行鉴定,或者委托公安部指定的机构出具报告。
需要聘请有专门知识的人进行鉴定,或者委托公安部指定的机构出具报告的,应当经县级以上公安机关负责人批准。
侦查人员送检时,应当封存原始存储介质、采取相应措施保护电子数据完整性,并提供必要的案件相关信息。
公安部指定的机构应当具备必需的仪器、设备并且依法通过资质认定或者实验室认可。
(2)应当依法承担回避、保密、出庭作证等义务,并对报告的真实性、合法性负责。
委托公安部指定的机构出具报告的其他事宜,参照《公安机关鉴定规则》等有关规定执行。
公安机关报请人民检察院审查批准逮捕犯罪嫌疑人,或者对侦查终结的案件移送人民检察院审查起诉的,应当将电子数据等证据一并移送人民检察院。
收集、提取的原始存储介质或者电子数据,应当以封存状态随案移送,并制作电子数据的备份一并移送。
(1)对网页、文档、图片等可以直接展示的电子数据,可以不随案移送打印件;人民法院、人民检察院因设备等条件限制无法直接展示电子数据的,公安机关应当随案移送打印件,或者附展示工具和展示方法说明。
(2)对冻结的电子数据,应当移送被冻结电子数据的清单,注明类别、文件格式、冻结主体、证据要点、相关网络应用账号,并附查看工具和方法的说明。
(3)对侵入、非法控制计算机信息系统的程序、工具以及计算机病毒等无法直接展示的电子数据,应当附电子数据属性、功能等情况的说明。
(4)对数据统计量、数据同一性等问题,公安机关应当出具说明。
《公安机关办理刑事案件程序规定》(2020年7月20日公安部令第159号修正)第66条
《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》(最高人民法院、最高人民检察院、公安部法发【2016】22号)第1条、第5条、第18条、第19条、第20条
《人民检察院办理网络犯罪案件规定》(最高人民检察院高检发办字【2021】3号)第27条
《公安机关办理刑事案件电子数据取证规则》(公安部公通字【2018】41号)《关于涉案账户资金网络查控平台电子数据若干问题的意见》(中国银保监会、国家监察委员会、最高人民法院、最高人民检察院、公安部、国家安全部、税务总局、证监会银保监发【2020】21号)第1条、第3条、第4条
夜雨聆风
